Met deze beleidsinstelling kunt u configureren hoe domeincontrollers Windows Hello for Business (WHfB)-sleutels verwerken die kwetsbaar zijn voor ‘Return of Coppersmith's attack' (ROCA).
Ga voor meer informatie over de kwetsbaarheid voor ROCA naar:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15361
https://en.wikipedia.org/wiki/ROCA_vulnerability
Wanneer u deze beleidsinstelling inschakelt, zijn de volgende opties beschikbaar:
Negeren: tijdens verificatie controleert de domeincontroller WHfB-sleutels niet op de kwetsbaarheid voor ROCA.
Controleren: tijdens verificatie genereert de domeincontroller controlegebeurtenissen voor WHfB-sleutels die kwetsbaar zijn voor ROCA (de verificatie wordt wel voltooid).
Blokkeren: tijdens verificatie blokkeert de domeincontroller het gebruik van WHfB-sleutels die kwetsbaar zijn voor ROCA (de verificatie mislukt).
Deze instelling wordt alleen van kracht op domeincontrollers.
Als u dit niet configureert, gebruiken domeincontrollers hun lokale standaardconfiguratie. De lokale standaardconfiguratie is Controleren.
Voor het van kracht worden van deze instelling is opnieuw opstarten niet nodig.
Opmerking: om onverwachte onderbrekingen te voorkomen is het verstandig om deze instelling niet in te stellen op Blokkeren voordat de juiste beperkende maatregelen zijn genomen, zoals het patchen van kwetsbare TPM's.
Meer informatie is te vinden op https://go.microsoft.com/fwlink/?linkid=2116430.
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Microsoft\Windows\CurrentVersion\Policies\System\SAM |
Value Name | SamNGCKeyROCAValidation |
Value Type | REG_DWORD |
Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Microsoft\Windows\CurrentVersion\Policies\System\SAM |
Value Name | SamNGCKeyROCAValidation |
Value Type | REG_DWORD |
Value | 1 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Microsoft\Windows\CurrentVersion\Policies\System\SAM |
Value Name | SamNGCKeyROCAValidation |
Value Type | REG_DWORD |
Value | 2 |